di Luciano Quartarone: CISO & DPO @ Archiva Group | Vicepresidente UNINFO
Abstract
A dieci anni dall’approvazione del Regolamento (UE) 2016/679 e a otto dalla sua piena applicazione, il GDPR appare sempre meno come una semplice normativa sulla privacy e sempre più come uno dei principali modelli europei di governance delle informazioni. L’articolo propone una riflessione sul reale impatto culturale e organizzativo del Regolamento, analizzando il superamento dell’approccio meramente documentale alla compliance, la trasformazione del dato personale in tema strategico, il ruolo crescente del management e la progressiva convergenza con i più recenti quadri normativi europei in materia digitale e cyber.
GDPR, dieci anni dopo: cosa abbiamo davvero imparato
A distanza di dieci anni dall’approvazione del Regolamento (UE) 2016/679 e a otto dalla sua piena applicazione, una parte del dibattito pubblico continua ancora oggi a ridurre il GDPR a una combinazione di informative, cookie banner, richieste di consenso e apparati sanzionatori. È una rappresentazione comprensibile, perché visibile e immediatamente percepibile dagli utenti e dalle organizzazioni, ma profondamente riduttiva.
Se si ritiene che il cuore del GDPR risieda principalmente nella produzione documentale o nel timore della sanzione amministrativa, probabilmente non si è colta fino in fondo la reale portata culturale e organizzativa di questo Regolamento europeo. Il GDPR non nasce per moltiplicare gli adempimenti formali né per alimentare una cultura burocratica della conformità. Nasce, piuttosto, per introdurre un principio di responsabilità strutturale nella gestione delle informazioni e per imporre alle organizzazioni un cambio di postura rispetto al dato personale, al suo valore e ai rischi derivanti dal suo trattamento.
Per la prima volta in maniera così esplicita e sistemica, il legislatore europeo ha chiesto alle organizzazioni non soltanto di rispettare regole, ma di essere in grado di comprendere, governare, documentare e dimostrare le proprie scelte. È qui che risiede il vero elemento di discontinuità introdotto dal GDPR: nell’aver trasformato la protezione dei dati personali da tema meramente giuridico o tecnico a tema di governance.
In questo senso, informative, consensi, registri o cookie banner non rappresentano il cuore del Regolamento, ma soltanto alcune delle sue manifestazioni più visibili. Confondere questi strumenti con il significato profondo del GDPR equivale a osservare la superficie del fenomeno senza coglierne la reale evoluzione: quella che ha progressivamente portato le organizzazioni europee a confrontarsi con concetti come accountability, gestione del rischio, controllo della filiera, sicurezza delle informazioni, tracciabilità decisionale e responsabilità del management.
Uno degli equivoci più frequenti consiste nell’utilizzare i termini “privacy” e “protezione dei dati personali” come fossero sinonimi perfettamente sovrapponibili. In realtà, il GDPR non rappresenta semplicemente l’evoluzione moderna del concetto di privacy di matrice anglosassone, ma si colloca all’interno di una tradizione giuridica e culturale profondamente diversa, sviluppatasi in Europa fino a riconoscere la protezione dei dati personali come diritto fondamentale autonomo della persona. Le origini storiche del concetto di privacy vengono generalmente ricondotte al celebre articolo pubblicato nel 1890 sulla Harvard Law Review dagli avvocati bostoniani Samuel D. Warren e Louis D. Brandeis, significativamente intitolato The Right to Privacy. In quel contributo, destinato a influenzare profondamente la cultura giuridica statunitense, la privacy veniva delineata come “the right to be let alone”, ossia il diritto dell’individuo a essere lasciato solo, al riparo da intrusioni indebite nella propria sfera privata. La tradizione europea ha seguito un percorso differente. Anche il Garante per la protezione dei dati personali, in diverse pubblicazioni istituzionali, ha evidenziato come il concetto europeo di protezione dei dati personali abbia progressivamente assunto contorni molto più ampi rispetto alla nozione classica di privacy. Nel contesto europeo, soprattutto nel secondo dopoguerra, il tema si è sviluppato come risposta alla necessità di impedire che la raccolta sistematica di informazioni da parte di Stati o grandi organizzazioni potesse trasformarsi in uno strumento di controllo, discriminazione o compressione delle libertà individuali. La protezione dei dati personali, quindi, non riguarda soltanto la tutela della vita privata, ma il rapporto tra persona, informazioni e potere. Non è un caso che l’ordinamento europeo abbia scelto di riconoscere tale principio come diritto fondamentale autonomo all’interno della Unione europea, distinguendo chiaramente il diritto al rispetto della vita privata e familiare dal diritto alla protezione dei dati personali. Una distinzione tutt’altro che formale e che riflette la consapevolezza maturata in Europa circa il fatto che, nell’era digitale, la tutela della persona non possa limitarsi alla protezione degli spazi privati tradizionalmente intesi, ma debba necessariamente estendersi al controllo sulle informazioni che la riguardano. Anche per questa ragione, ridurre il GDPR a una normativa “privacy” rischia di essere fuorviante.
Il Regolamento europeo non si limita a proteggere la riservatezza degli individui, ma definisce un modello di responsabilità nell’uso delle informazioni personali, imponendo limiti, obblighi, trasparenza e accountability a chiunque eserciti potere attraverso il trattamento dei dati.
Nei primi anni successivi all’entrata in applicazione del GDPR, molte organizzazioni hanno affrontato il Regolamento attraverso un approccio prevalentemente documentale, nella convinzione che la conformità potesse essere raggiunta mediante informative, registri, clausole contrattuali e procedure standardizzate. In numerosi casi, la compliance è stata interpretata come un esercizio formale finalizzato principalmente a “dimostrare” l’adempimento attraverso una proliferazione documentale spesso scollegata dalla concreta operatività aziendale. Eppure, il GDPR non ha mai richiesto una compliance cartacea. Non ha mai imposto la produzione di documenti come fine in sé. Il principio di accountability non può essere ridotto alla semplice capacità di esibire documentazione, ma implica la capacità dell’organizzazione di comprendere i propri trattamenti, governarne i rischi, adottare misure proporzionate e integrare tali principi nei processi decisionali e operativi. La documentazione rappresenta certamente uno strumento importante di tracciabilità e dimostrazione, ma perde gran parte del proprio valore quando diventa una rappresentazione artificiale della conformità, non corrispondente alla realtà aziendale.
Uno dei rischi emersi negli ultimi anni consiste proprio nell’aver trasformato la compliance in una sovrastruttura amministrativa percepita come separata dalla gestione quotidiana dell’impresa. Una deriva che rischia di alimentare, soprattutto nelle piccole e medie organizzazioni, la convinzione che la conformità normativa coincida con un inutile costo burocratico crescente, anziché con un percorso di maturazione organizzativa e di governo del rischio.
Il tema assume oggi una rilevanza ancora maggiore alla luce della progressiva convergenza di numerosi quadri normativi europei che condividono un’impostazione sostanzialmente analoga a quella introdotta dal GDPR. La Direttiva (UE) 2022/25551, il Regolamento (UE) 2024/16892, il Regolamento (UE) 2022/25543e il Regolamento (UE) 2024/28474, solo per citare i più discussi del momento, condividono infatti principi comuni: approccio basato sul rischio, responsabilità del management, governance dei processi, controllo della filiera, obblighi di monitoraggio e capacità dimostrativa. Tale convergenza rappresenta certamente un elemento positivo nella costruzione di un modello europeo di governance digitale coerente e strutturato. Tuttavia, espone le organizzazioni anche al rischio di affrontare ciascun quadro regolatorio come un insieme autonomo di adempimenti da stratificare progressivamente, generando sovraccarichi documentali, procedure duplicate e apparati di compliance sempre più complessi da mantenere.
Uno degli effetti più profondi prodotti dal GDPR è stato quello di trasformare il dato personale — e più in generale l’informazione — da elemento prevalentemente operativo o tecnico a tema strategico di governo dell’organizzazione. Prima dell’entrata in applicazione del Regolamento, in molte realtà aziendali il trattamento dei dati personali veniva percepito come una questione confinata agli aspetti informatici o giuridici, spesso delegata a figure specialistiche prive di un reale coinvolgimento nei processi decisionali dell’impresa. Il GDPR ha progressivamente modificato questo paradigma, imponendo alle organizzazioni di prendere coscienza del fatto che la gestione delle informazioni costituisce un elemento centrale nella continuità operativa, nella reputazione aziendale, nella gestione del rischio e nella sostenibilità del business. Il vero elemento di discontinuità introdotto dal legislatore europeo non risiede tanto nell’aver imposto nuovi adempimenti, quanto nell’aver richiesto alle organizzazioni di sviluppare processi strutturati, verificabili e coerenti con il proprio contesto operativo.
Il GDPR ha introdotto nelle organizzazioni europee un principio allora tutt’altro che scontato: non basta dichiararsi conformi, occorre essere in grado di dimostrarlo.
La capacità dimostrativa richiesta dal GDPR ha contribuito a introdurre all’interno delle organizzazioni una vera e propria cultura della prova. Non più soltanto dichiarazioni di principio o procedure astratte, ma evidenze concrete dell’effettiva applicazione delle misure adottate: tracciabilità delle decisioni, valutazioni del rischio, gestione documentata degli incidenti, verifiche periodiche e controlli organizzativi e tecnici.
Parallelamente, il GDPR ha inciso anche sul linguaggio delle organizzazioni. Termini come accountability, risk-based approach, data breach, minimizzazione, valutazione d’impatto, misure tecniche e organizzative o protezione dei dati by design e by default sono progressivamente usciti dagli ambiti specialistici per entrare nel lessico quotidiano di manager, responsabili IT, funzioni compliance e organi direttivi. Il management aziendale ha così assunto un ruolo sempre più centrale. Il GDPR ha contribuito a spostare il tema della protezione dei dati personali dal livello esclusivamente operativo a quello strategico e decisionale, rendendo evidente che il trattamento delle informazioni non può essere governato efficacemente senza il coinvolgimento diretto dei vertici organizzativi. È probabilmente questo il vero lascito del Regolamento: aver trasformato la protezione dei dati personali da tema specialistico a tema di governance.
A distanza di dieci anni dalla sua approvazione, appare ormai quindi evidente come il GDPR incida direttamente su temi quali fiducia, reputazione, supply chain, continuità operativa, relazioni commerciali e governance del rischio. E ciò accade per una ragione molto precisa: nell’economia digitale contemporanea il dato personale non rappresenta più soltanto un elemento giuridico da tutelare, ma una componente strutturale dei processi aziendali e delle relazioni economiche.
Il GDPR riguarda innanzitutto la fiducia, perché ogni organizzazione tratta quotidianamente informazioni riferibili a clienti, dipendenti, fornitori o partner commerciali. La capacità di gestire tali informazioni in modo corretto, trasparente e sicuro costituisce oggi un elemento determinante nella percezione di affidabilità dell’organizzazione stessa. Incide sulla reputazione aziendale, perché violazioni dei dati personali o trattamenti illeciti tendono ormai a trasformarsi rapidamente in eventi pubblici e reputazionali. Riguarda la supply chain, perché l’esternalizzazione dei servizi digitali ha reso evidente come il rischio non si esaurisca più all’interno del perimetro aziendale. Coinvolge la continuità operativa, perché disponibilità, integrità e riservatezza delle informazioni rappresentano oggi condizioni essenziali per l’erogazione dei servizi e per la sostenibilità operativa delle organizzazioni. Il GDPR incide anche sulle relazioni commerciali, perché clienti, partner e grandi committenti valutano sempre più frequentemente i fornitori anche sulla base della loro capacità di dimostrare affidabilità nella gestione delle informazioni e conformità ai requisiti normativi e contrattuali.
La protezione dei dati personali è progressivamente diventata parte integrante dei processi di qualifica, audit e selezione dei fornitori.
Non è un caso che studio specialistici, come il GDPR Enforcement Tracker Report 20255, evidenzino come le principali cause di sanzione continuino a riguardare soprattutto l’assenza di una base giuridica adeguata, la violazione dei principi generali del trattamento e l’insufficienza delle misure tecniche e organizzative. Un dato particolarmente significativo perché conferma come il tema centrale della compliance europea non riguardi meri formalismi documentali, ma la capacità concreta delle organizzazioni di governare trattamenti, processi, tecnologie e rischi. Lo stesso report evidenzia inoltre come il sistema europeo di enforcement sia progressivamente entrato in una fase di maturazione e normalizzazione operativa, quasi di “business as usual”, dopo gli anni caratterizzati dalle grandi sanzioni simboliche nei confronti delle Big Tech. Un passaggio rilevante, perché suggerisce come il GDPR non rappresenti più un evento straordinario o emergenziale, ma una componente ormai strutturale della governance aziendale contemporanea.
Anche il contesto italiano appare particolarmente significativo. I dati contenuti nel dataset dell’Enforcement Tracker mostrano come l’Italia continui a collocarsi tra i Paesi europei più attivi sotto il profilo sanzionatorio, con oltre cinquecento provvedimenti censiti e con un’ampia varietà di violazioni contestate, che spaziano dall’assenza di adeguate basi giuridiche fino all’insufficienza delle misure tecniche e organizzative. Un elemento che conferma come il tema della protezione dei dati personali non riguardi più soltanto le Big Tech o le piattaforme digitali globali, ma attraversi ormai trasversalmente pubbliche amministrazioni, imprese, professionisti e organizzazioni di ogni settore. Come evidenziato anche nel mio precedente articolo “Le sanzioni del Garante sono lo specchio della compliance”, i provvedimenti adottati dal Garante per la protezione dei dati personali mostrano spesso criticità organizzative ben più profonde rispetto alla singola violazione contestata: assenza di governance, mancanza di controllo sui trattamenti, carenze organizzative, insufficiente consapevolezza del rischio e misure tecniche e organizzative non adeguate. È anche per questa ragione che la leva sanzionatoria, da sola, non può rappresentare una soluzione sufficiente. Le sanzioni possono certamente correggere comportamenti o aumentare il livello di attenzione, ma difficilmente riescono a generare una reale cultura organizzativa della protezione dei dati. Nessuna organizzazione costruisce maturità, resilienza o governance attraverso la sola paura della sanzione.
In questo scenario si inseriscono anche gli schemi europei di certificazione e valutazione della conformità, tra cui la UNI/CEI EN 17799, che rappresenta uno dei tentativi più significativi di trasformare la protezione dei dati personali da concetto astratto o autoreferenziale a elemento verificabile, misurabile e competitivo.
Non sorprende, infine, che le medesime logiche oggi riemergano con forza anche nel dibattito sull’intelligenza artificiale. Lo stesso GDPR Enforcement Tracker Report 2025 evidenzia come l’adozione di tecnologie innovative e sistemi AI aumenti significativamente la probabilità di trattamenti “rischiosi”, richiedendo valutazioni fattuali, giuridiche e tecniche sempre più approfondite prima della loro implementazione.
È probabilmente questo uno degli aspetti più rilevanti emersi nel corso di questi dieci anni: il GDPR non ha semplicemente imposto obblighi. Ha contribuito a ridefinire il modo in cui le organizzazioni europee vengono valutate rispetto alla propria capacità di governare informazioni, tecnologie, processi e relazioni fiduciarie. E, soprattutto, ha posto le basi di un modello europeo di responsabilità digitale destinato a estendersi ben oltre il perimetro originario della protezione dei dati personali.
1DIRETTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2)
2REGOLAMENTO (UE) 2024/1689 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 13 giugno 2024 che stabilisce regole armonizzate sull'intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull'intelligenza artificiale)
3REGOLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011
4REGOLAMENTO (UE) 2024/2847 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 ottobre 2024 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828 (regolamento sulla ciberresilienza)
5https://cms.law/en/int/publication/gdpr-enforcement-tracker-report